Уязвимость компонента Dev UI Config Editor Java-фреймворка quarkus связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Использование рекомендаций:
Для quarkus:
https://quarkus.io/blog/quarkus-2-14-2-final-released/
https://github.com/quarkusio/quarkus/releases/tag/2.14.2.Final
https://github.com/quarkusio/quarkus/releases/tag/2.13.5.Final
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-4116
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- открытие quarkus в отдельном веб-браузере;
- использование случайного пути для пользовательского интерфейса Quarkus Dev, переместив все конечные точки, не относящиеся к приложениям, в случайный корень:
%dev.quarkus.http.non-application-root-path=<your random string>
Затем пользовательский интерфейс Dev будет доступен по следующему URL-адресу: http://localhost:8080/<your random string>/dev/.
| Балл | 10 — критическая опасность |